La violation de données de Marriott/Starwood : Pourquoi la gestion des risques liés aux tiers est essentielle lors des fusions et acquisitions

Lorsque Marriott a racheté Starwood en 2016, l'entreprise a hérité d'une plateforme de système de réservation compromise qui a donné lieu à des poursuites judiciaires et à une atteinte à la réputation.

Image décorative

Note de l'éditeur : Ce blog est le troisième d'une série qui examine les causes et les effets des violations de données liées à des tiers qui ont fait grand bruit au cours de la dernière décennie. Ne manquez pas de consulter le blog du Registre des risques pour connaître les prochains articles de la série !

Lorsque Marriott a acquis Starwood en 2016, l'entreprise a hérité d'une plateforme de système de réservation compromise qui a donné lieu à des poursuites judiciaires et à une atteinte à la réputation après l'annonce de la violation en 2018. Ce blog examine le contexte de la violation de Marriott, les méthodes utilisées par les attaquants, ce qu'il est advenu des données, l'impact de la violation sur Marriott et les leçons que les praticiens tiers peuvent en tirer.

Historique de la violation de données

Lorsque Marriott a acquis Starwood en 2016, il ignorait que des acteurs malveillants avaient un accès direct aux réseaux et systèmes de Starwood depuis 2014. Les attaquants ont conservé l'accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la violation en 2018. Les acteurs malveillants ont volé les noms, adresses, numéros de téléphone, dates de naissance, adresses électroniques, détails cryptés des cartes de crédit, numéros de passeport et historiques de voyage des clients.

Méthodes utilisées

Les acteurs malveillants ont utilisé un cheval de Troie d'accès à distance (RAT). Un RAT est un logiciel malveillant qui permet à un acteur malveillant d'accéder à distance à l'ordinateur d'une cible. Les attaquants ont également utilisé un outil open-source appelé Mimikatz, qui recherche dans la mémoire d'un appareil ou d'un système les informations d'identification de l'utilisateur. Ces deux outils ont été utilisés pour maintenir l'accès aux systèmes piratés, se déplacer latéralement au sein du réseau et élever les privilèges sur les systèmes compromis.

Qu'est-il advenu des données ?

Les experts en cybersécurité estiment que des acteurs étatiques sont à l'origine de la violation. Toutefois, au début de l'année 2019, les informations volées n'avaient pas encore été mises en vente sur le dark web. La grande quantité de données compromises serait utile aux agences de renseignement étrangères, et ces agences ont la motivation et les ressources nécessaires pour compromettre Starwood et analyser l'ensemble des données volées. En mars 2019, le PDG de Marriott, Arne Sorenson, a déclaré devant une sous-commission du Sénat américain que Marriott n'avait pas encore déterminé qui était responsable de la violation.

Comment la brèche a affecté Marriott

Après la divulgation de la faille, le cours de l'action de Marriott a chuté de plus de 5 %. Plus récemment, l 'action de l'entreprise a rebondi et elle n'a pas subi de pertes de revenus significatives. Cependant, en juillet 2019, l'Information Commissioner's Office (ICO) a publié un avis annonçant son intention d'infliger à Marriott International une amende de 99 200 396 £ (123 millions de dollars) en vertu du nouveau règlement général sur la protection des données (RGPD).

En outre, plusieurs recours collectifs ont été intentés contre Marriott. L'un des griefs est que Marriott n'a pas fait preuve de la diligence requise en examinant la situation de Starwood en matière de cybersécurité au cours du processus d'acquisition. L'action en justice allègue que si Marriott l'avait fait, la violation de données aurait été découverte avant l'absorption de Star wood par Marriott. À ce jour, les actions en justice sont toujours en cours.

Ce que les praticiens de la gestion des risques liés aux tiers peuvent apprendre de la faille de Marriott

Les professionnels de la gestion des risques peuvent tirer de nombreux enseignements de l'affaire Marriott. Le plus important est que, dans le cadre du processus de fusion-acquisition, Marriott aurait dû faire preuve d'une plus grande diligence en ce qui concerne les contrôles internes et les politiques de sécurité de Starwood, afin de déterminer comment ils permettaient à des tiers d'accéder à leurs systèmes, et comment cela aurait pu exposer Starwood. Cela peut toutefois s'avérer difficile, étant donné que la visibilité est généralement limitée et qu'il n'existe pas de renseignements centralisés sur la santé commerciale d'une cible d'acquisition.

Prevalent est unique en ce sens qu'il combine l'évaluation automatisée des fournisseurs et la surveillance continue des menaces au sein d'une plateforme unique qui offre une vue à 360 degrés des fournisseurs. Le résultat est la visibilité dont vous avez besoin pour révéler, interpréter et réduire les risques.

Avec l'augmentation de l'activité réglementaire liée à la sécurité de l'information, l'indignation des consommateurs face aux violations de données et la complexité croissante du paysage des risques d'entreprise, les répercussions juridiques et financières résultant des violations de tiers continueront d'augmenter. En mettant en place les mesures adéquates, les spécialistes de la gestion des risques liés aux tiers peuvent éviter que le nom de leur entreprise ne fasse la une des journaux.

Pour en savoir plus sur la manière dont Prevalent peut vous aider à gérer les risques complexes liés aux tiers, contactez-nous dès aujourd'hui.


Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.